[Решено] для мигрантов. Чистая установка с шифрованных home.

Автор wau, 07 августа 2013, 11:22:39

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

wau

Что было хорошего в убунтоподобных дистрибутивах - если мы там выбирали шифрование пользовательских каталогов, если эти каталоги на отдельном разделе, то при последующих установках, чистых установках, с полным форматирование системного раздела система при совпадении имен и ID новых пользователей новой системы , то старые home\user нормально подхватывались.

В Дебе и ред-хатоподобных дистрибутивах шифрование  по-умолчанию построено по-другому (пишу очевидные вещи подробно, поскольку я не один мигрант и другим это тоже надо понимать) и потому миграция возможна только с полным выносом файлов на внешний носитель. И с последующими установками вопросы - в программе разметки при установке если указать согласно инструкциям сперва раздел под шифрование, затем что будет на этом разделе, то мы получаем полное форматирование раздела, все данные погибают. Т.е. программы установки дистрибутивов этот момент - задачу сохранения данных в шифрованных home как-то опускают. А возможны схемы сохранения данных при миграции, при этом даже без смены схемы шифрования. Отмечу, что по моему личному мнению вариант, примененный Убунтой (версии ниже 13.04, шифруется не раздел, а файлы, директории) и менее устойчив к взлому (имея заведомо известные имена директориев и файлов и их шифрованные тексты проще подобрать ключи), и менее устойчив в эксплуатации (если мы накатываем новый дистрибутив, даже Убунта поверх Убунты и при создании пользователей перепутаем порядок создания пользователей (например, создали П1, ... П5, Ппоследний, потом П5 удалили и в новом создаем без П5, мы получим фэйловый результат для всех пользователей после П4 - ведь их ID не будет совпадать со старым, т.е. для Убунты вожно совпадение ID и юзернейма). Отличия в реализации я отмечу ниже, в т.ч. пост 4 этого топика

ВАЖНО - ни одно из предлаагемых действий НЕ угрожает целостности Ваших данных на тех отдельных разделах, на которых лежат Ваши хомовники, даже и шифрованные. Все операции делаются внутри "корня".

Для их сохранения надо -

1. заранее зная, что на каком-то разделе УЖЕ есть шифрованный раздел (или раздел с шифрованными хомовниками), программе установки об этом не сообщать, выбрать в программе разметки только раздел под / (корень) и свап (если его делаем)
2. после загрузки установленной системы в аккаунт через ГУИ НЕ ВХОДИТЬ, или, во всяком случае, войти только для apt-get install cryptsetup и перед п. 3 выйти, а переключиться в другую консоль по Alt+Ctrl+F1 (или 2, 3,4...)

3. в этой другой консоли войти под логином root, снести все содержимое /home -
cd /home
ls -смотрим, что там есть
rm -r что там нашлось, можно просто rm -r *

по автоматизации - далее см.  пост 4 этого топика


4. теперь подключаем шифрованный раздел (в моем случае sda4) -
cryptsetup luksOpen /dev/sda4 sda4_crypt

5. теперь монтируем шифрованный раздел
/dev/mapper/sda4_crypt   /home     ext4    defaults     0       2

6. теперь возвращаемся в консоль со входом через ГУИ (альт+ф7) и входим - все файлы на месте.


Но это все в ручном режиме. Прописывание п. 6 в фстаб не помогает в смысле автоматизации. Создание /etc/crypttab тоже не помогает - все приходится делать вручную.

Вопрос - как починить, чтобы шифрованнй раздел автоматом подхватывался, подключался? -  пост 4 этого топика


Brainey

Цитата: wau от 07 августа 2013, 11:22:39Вопрос - как починить, чтобы шифрованнй раздел автоматом подхватывался, подключался?
Прописать его в /etc/fstab, не?
Конференция форума в jabber: debianforum@conference.jabber.ru | Клуб кедоводов: kde@conference.jabber.ru

wau

#2
Цитата: Brainey от 07 августа 2013, 21:06:42Но это все в ручном режиме. Прописывание п. 6 в фстаб не помогает в смысле автоматизации. Создание /etc/crypttab тоже не помогает - все приходится делать вручную.

С этого начал. Не канает.


Сообщение объединено: 08 августа 2013, 02:23:56

Для автомонтирования crypttab необходим скрипт  /etc/init.d/boot.crypto, которого у меня нет, синаптик по этому поводу молчит. ПОдсказки будут где взять?


Сообщение объединено: 08 августа 2013, 02:53:12

Правильный ответ: ни где. Надо поставить пакет cryptsetup.




Т.о. правильная последовательность действий такова, нумерация пунктов продолжает нумерацию поста 1 этого топика  -

установив систему и не входя в аккаунт, т.е. перейдя в другую консоль (ктрл+альт+ф4), логинимся как рут и -

4. получаем знание, какой именно раздел у нас шифрованный, например, sda6
5. создаем файл /etc/crypttab, в котором строчка

5.1.
sda6_crypt  /dev/sda6 none luks - это для шифрованного раздела целиком

5.2.
sda6_crypt /dev/sda6 none aes-cbc-plain:sha256 - это для шифрованного раздела целиком (вариант Убунты до 13.04, этот вариант применим и в Дебе, Сусе, Федоре)


(вместо sda6_crypt можно любое желаемое имя без русских букв,http://www.opennet.ru/man.shtml?topic=crypttab&category=5&russian=2 )

6. дописываем в fstab  (nano /etc/fstab) строку вида (нумерация аналогична п. 5)

6.1.
/dev/mapper/sda6_crypt /home    ext6    defaults        0       2

6.2.
/dev/sda6 /home ext4    discard,noatime,defaults        0       2

7. apt-get install cryptsetup


8. перезагрузка.

В качестве результата имеем на месте все свои старые файлы.